Предупреждение обмана
Предупреждение обмана
Симпатия, вина и запугивание-это три очень популярных психологических трюка, используемых социальным инженером, и вышеперечисленные истории продемонстрировали тактику действий. Но что можете сделать вы и ваша компания, чтобы избежать данных типов атак?
Защита информации
Некоторые истории в этой главе показывают опасность отправки файла кому-то незнакомому, даже человеку, который представляется работником вашей компании, а файл отправляется по внутренней сети на е-мэйл или факс.
Службе безопасности компании необходимо выстроить схему, обеспечивающую безопасность при пересылке важной информации какому-то незнакомому лично отправителю. Особые процедуры должны быть разработаны для передачи файлов с важной информацией. Когда запрос поступает от незнакомого человека, должны быть предприняты шаги к подтверждению его личности. Также должны быть установлены различные уровни доступа к информации.
Вот некоторые способы, которые следует обдумать:
Установите, насколько необходимо спрашивающему это знать (что может потребовать получения одобрения со стороны владельца информации)
Храните логи всех транзакций
Утвердите список людей, которые специально обучены процедурам передачи информации и которым вы доверяете отправку важной информации. Требуйте, чтобы лишь эти люди имели право отсылать информацию за пределы рабочей группы.
Если запрос на информацию пришел в письменном виде (е-мэйл, факс или почта), предпримите особые шаги, чтобы убедиться в верности указываемого источника.
О паролях
Все сотрудники, которые имеют доступ к важной информации, а в наше время это все, кто имеют доступ к компьютеру, должны понимать, что даже такая простая процедура, как смена пароля, может привести к серьезной бреши в безопасности системы.
Занятия по безопасности должны включать в себя тему паролей и быть сфокусированы на процессе смены пароля, установки приемлемого пароля и опасностях, связанных с участием посторонних в этом. Занятия должны научить сотрудников подозрительно относиться к любому запросу по поводу их пароля.
Заметка
Именно на паролях сосредоточены атаки социальных инженеров, которые мы рассмотрели в отдельной секции в главе 16, где вы также найдете особые рекомендации по данной теме.
Группа по отчетам
Ваша служба безопасности должна предоставить человека или группу, сформированную, как орган, в который поступали бы отчеты о подозрительной деятельности, направленной на атаку вашей организации. Все рабочие должны знать, куда обратиться в случае подозрения на электронное или физическое вторжение. Телефонный номер такого места всегда должен быть на виду, чтобы служащим не приходилось разгребать кучи бумаг в поисках его, во время попытки атаки.
Защитите вашу сеть
Служащие должны осознавать, что имя сервера или компьютера в сети это не пустяковая информация, а важная настолько, что может дать атакующему знание своей цели.
В частности, люди, такие как администраторы баз данных, которые работают с программным обеспечением, принадлежат к категории людей, которые располагают технической информацией, так что они должны работать в условиях жестких правил, устанавливающих личность человека, обратившегося к ним за советом или информацией.
Люди, которые регулярно предоставляют помощь в компьютерной сфере, должны отлично распознавать запросы, на которые нельзя ни в коем случае отвечать, понимая, что это может быть атакой социального инженера.
Намного хуже осознавать, что в вышеупомянутой ситуации, атакующий подпадал под критерий законности: он звонил из кампуса, находился на сайте, требующем знание логина и пароля. Это лишь подтверждает необходимость наличия стандартной процедуры идентификации любого, запрашивающего информацию, особенно в данном случае, когда звонящий просил помощи в доступе к конфиденциальной информации.
Все эти советы особенно важны для колледжей и университетов. Ни для кого не новость, что хакинг – любимое времяпровождение для многих студентов, и также не секрет, что очень часто факультетские записи бывают целью их атак. Угрозы взлома стали настолько серьезны, что многие компании считают кампусы неким источником зла и добавляют в файрвол правило, блокирующее доступ с компьютеров, имеющих адрес *.edu
Короче говоря, все студенческие и персональные записи любого характера должны рассматриваться как возможные цели для атак и быть хорошо защищены.
Тренировочные советы
Большинство атак такого плана очень просто отразить для человека, знающего, чего ожидать.
Для корпораций необходимо проведение фундаментальной подготовки к такого рода ситуациям, но существует также необходимость напоминать людям об их знаниях.
Используйте яркие заставки, которые будут появляться при включении компьютера и содержать новый совет по безопасности каждый раз. Сообщение должно быть сделано таким образом, чтобы оно не исчезало автоматически, но требовало от пользователя нажатия на совет, который он / она только что прочитали.
Другой подход, который я могу посоветовать – это начать серию напоминаний о безопасности. Частые сообщения с напоминаниями очень важны; информирующие программы не должны иметь конца, сообщения должны иметь каждый раз разное содержание. Занятия показали, что такие сообщения более эффективны, когда написаны по-разному или используются различные примеры в них.
Еще один отличный способ – использовать короткие аннотации. Это не должна быть полная колонка, посвященная предмету. Лучше сделать пару-тройку маленьких колонок, как маленький экран в вашей собственной газете. В каждом случае такого письма представляйте очередное напоминание в коротком, хорошо запоминающемся виде.